セ 5 啟プ 


購入後、初めて本製品をセットアップする時の手順を説明します。二重化構成を構築する場合は、4章を 
参照してください。 


セットアップの概要 (—56 ページ） . セットアップを始めるにあたっての準備について 

説明しています。 

セットアップ (—57 ページ） . 本装置を使用できるまでのセットアップ手順につ 

いて説明しています。 

再セツトアップ (—87 ページ） . システムを再セツトアップする方法について説明 

しています。 
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セットアップの概要 

セットアップには、本体以外のマシンや接続のためのケーブルなどが必要となります。また、それぞれの 
マシンについてもソフトウェアのインストールなどの準備が必要となります。 

• 本体 

購入時のハードディスク上には Fi 「 eWall -1( Linux 版)のモジュール、および基本設定ツー 
ルがインス!-ール済みです。こちらを使用して、コンフィグレーションをしてくださ 
い。 

• 管理クライアント 

システムの基本設定をするために使用する管理コンピュータとして使用します。 

また、ポリシー作成用のクライアント PC には、本装置に同梱されている 「Check Point 
NGX CD - R 〇 M 」 からモジュールや GUI クライアントをインス I ルしてください。イン 
スト ー ル/初期導入設定用ディスクの作成用としても使用します。 

詳しくはこの後の説明を参照してください。 

セットアップには、以下の3通りの方法があります。 

• セキュアシェル ( SSH ) を使用したセットアップ 
• Web Management Console ( WbMC ) を使用したセットアップ 
• コンソールを使用したセットアップ 

本書では、以降セットアップについて 「 ssh を使用したセットアップ」を例にとって記述しま 
す。 

ただし、 SSH のクライアントソフトはお客様でご用意ください。 
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セットアップ 


システムをセットアップする方法の中で、セキュアシェル ( SSH ) を使用した手順を説明します。 


設定手順の流 


設定手順の流れを以下に示します。 


インストール/初期導入設定用ディスクによる設定 


1 . インストール/初期導入設定用ディスクの作成 

2. インストール/初期導入設定用ディスクによるセットアップ 


〇 


システムのセットアップ 


1. 基本設定ツールによる設定 

2. FireWaN-1 のコンフィグレーション 


〇 


セキュリティポリシーのセットアップ 


〇 


4. バックアップ 


〇 


5. オンラインアップデート 


〇 


6. ESMPRO / ServerAgent のセットアップ 


〇 


7. システム情報のバックアップ 


〇 


8. 管理コンピュータのセットアップ 


システムのセットアップ 
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1. インストール/初期導入設定用ディスクによる設定 


インストール/初期導入設定用ディスクでの設定方法について説明します。 

インストール/初期導入設定用ディスクの作成 

「インス I ル/初期導入設定用ディスク」は Firewall を設定するために最低限必要となる設定 
情報を保存したセットアップ用のフロッピーディスクです。 

添付の「インストール/初期導入設定用ディスク」にあらかじめ入っている「初期導入設定ツー 
ル」を使用して作成します。「初期導入設定ツール」は 、 Windows 98/ Me / NT 4.0/2000 /XP 
が動作するコンピュータで動作します。 


初期導入設定ツールの実行と操作の流れ 

次の順序でインストール/初期導入設定用ディスクを作成します。それぞれの設定項目につ 
いては、この後に説明しています。 

1. Windows マシンのフロッピーディスクドライプに添付の「インストール/初期導入設定用ディス 
ク」をセットする。 

2. フロッピーディスクドライブ内の「初期導入設定ツール ( StartupConf . exe )」 を実行する。 

「初期導入設定ツール」が起動します。 

3. 開始画面が表示されたら[次へ]をクリック 
し、設定の入力を開始する。 

プログラムは、ウィザード形式となって 
おり、各ページで設定に必要事項を入力 
して進んでいきます。 

必須情報が入力されていない場合や入力 
情報に誤りがある場合は警告メッセージ 
が表示されますので、項目を正しく入力 
し直してください。入力事項の詳細につ 
いては、後述の説明を参照してくださ 
い。 

すべての項目の入力が完了すると、フ 
□ッピーディスクに設定情報を書き込ん 
で終了します。 

4. インス!-ール/初期導入設定用ディスクをフロッピーディスクドライブから取り出し、「インス 
卜ール/初期設定用ディスクによるセットアップ」に進む。 

I w-OB^ 

I インストール/初期導入設定用ディスクは再セットアップの際にも使用します。大切に保管して 
| ください。 
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入力項目の設定 

以下のネットワーク構成を例にして「初期導入設定ツール」で入力する項目について説明します。 


254 


202.247 .5.0 



ルータ 


2* 


127 

NAT 公開アドレス 


126 



サーバタイプ(設定必須） 

Firewall の種別について設定をします。 


ファイル©ヘルプ砂 


麟路飄，レ 


r 管理 サーパ 


項目を入力した 60 欠へ ( ti ) > J を押じ C ください 


一く 駿@ 匚次へ⑽〉 
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ネットワークインタフェースの設定 

Firewall のネットワークの設定をします。 


ーホスト名(設定必須） 

ホスト名はドメイン名まで含めた 
FQDN の形式で入力してくださ 
い0 

一 LAN ポート1 ( 設定必須） 

IP アドレス 

LAN ポート1に割り当てる IP アドレ 
スを入力します。 

サブネットマスク 

LAN ポート1に割り当てた IP アドレスに対するサブネットマスクを入力します。 
- LAN ポート2 

IP アドレス 

LAN ポート2に割り当てる IP アドレスを入力します。 

サブネットマスク 

LAN ポート2に割り当てた IP アドレスに対するサブネットマスクを入力します。 



ルーテ インクの設定 

ネットワークのルーティングの設定をします。 


ーデフォルトゲートウェイ（設定必 

須） 

デフォルトゲートウェイの IP アド 
レスを指定します。 

一静的ルーティング 

宛先ネットワークアドレスとネッ 
トマスクおよびゲートウェイの組 
み合わせを指定します。 


IT Express5800/FW300. FV^OO 初期導入設定ツール 


ファイル®ヘルブ ( ti ) 

li レー ティングの設定を m 1ます。 

_的ルーティング1 S ここでは1つのみ設定可能です。リモート苷理端末が内部の別ネットワ' • 
p \ こ存在する埸合1 a 静的ルーティングを指定してください。 

通常運用|こ必要なルーティング1 i サ— y の起動)後1こ基本設定ツールで設定じ c ください。 

デフルトゲートウェイ 

|202 . |247 . |5 . [254 


静的ルーティング 



ネットワークアドレス 

|192 . |168 . |2 . |0 


ネットマスク 

|255 . (255 . 「255 . |0 


ゲートウェイ 

1192 . |168 . |1 .|254 


項目 € A 力したら r > 欠へ妙 >」を押じ r ください 



<戻る ( S ) 」匚 ） 欠へ⑽ > 1 キャンセル」 


















• メールアドレスの設定 


メールアドレスとリモートメンテナンス機能の利用に関する設定をします。 


管理者のメールアドレス（設定必 
須） 

管理者のメールアドレスを指定し 
ます。 

Web Management Console 
( WbMC ) の設定 

WbMC を使用する場合に、チェッ 
クをつけます。 

セキュアシェル ( SSH ) の設定 

SSH を使用する場合に、チェック 
をつけます。 


ファイル (£) ヘルブ⑻ 


メールアドレスの設定、およひリモートメンテナンス機能の利用に関する設定を行Iぼす。 


管理者のメールアドレス |xy2@nec.co.jp 

[7 Web Management Console (WbMC〉 を使用する 
F7 


項目を入力したら「)欠へ⑽ > J を押してください 


<戻る(珍」 [ 次へ⑽> |キャンセル 


WbMC に関する設定 

WbMC に関する設定をします。 

一 WbMC ポート番号 

使用するポート番号を入力しま 
す。既定値は、18000です。必要 
に応じて変更してください。 

一接続元 IP アドレス 

接続元の管理クライアントの IP ア 
ドレスを入力します。 

一管理者アカウント名 

上記で設定した接続元 IP アドレス 
の管理クライアントから WbMC に 
接続する際の管理者名 （ 15文字以 
内）を入力します。 

-パスワード 


ファイル (£) ヘルブ⑻ 


用する」にわク撕た場合咖 

$入力してください。 


接続元 ip アドレス 
-理者アカウント名 
パスワード 
パスワ-ドの再入力 


[18000 

「92 . |168 . f 

|fiws-admin 


■. [ 99 ~ 


|木木木木*» 


|木木木木*» 


項目を入力した6はへ⑽ > J を押してください 


<戻る坦〉 j I次へ(旭> I キャンセル 


上記で設定した管理者名に対する、パスワードを設定します。 
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• SSH に関する設定 

SSH に関する設定をします。 

— SSH ポート番号 

使用するポート番号を入力しま 
す。既定値は、18022です。必要 
に応じて変更してください。 

一接続元 IP アドレス 

接続元の管理クライアントの IP ア 
ドレスを入力します。 

一管理者アカウント名 

上記で設定した接続元 IP アドレス 
の管理クライアントから SSH で接 
続する管理者名 （ 15文字以内）を入力します。 

パスワード 

上記で設定した管理者名に対する、パスワードを設定します。 


インストール/初期導入設定用ディスクによるセットアップ 

初期導入設定ツールで作成した「インストール/初期導入設定用ディスク」を使用して、セッ 
トアップし、管理クライアントを本体へ接続します。 


セットアップ手順 

以下の手順でセットアップします。 

正しくセットアップできないときは、次ページを参照してください。 

1.SSH 通信用ソフトウェアがインストールされている管理クライアントを用意する。 

2 . 本体の電源が OFF の状態で、管理クライアントと本体背面にある LAN ポートインタフェース讷部 
ネットワーク用）をクロスケープルで接続するか、本体が接続されている内部ネットワークのハプ 
などに管理クライアントの LAN ケーブルを接続する。 

3. 前述の「インストール/初期導入設定用ディスクの作成」で作成したインストール/初期導入設定用 
ディスクを本体のフロッピーディスクドライプにセットする。 

4. 本体の POWER スイッチを押す。 

POWER ランプが点灯します。しばらくすると、インストール/初期導入設定用ディスクから設定 
情報を読み取り、自動的にセットアップを進めます。2〜3分ほどでセットアップが完了します。 

5. 管理クライアントがらインストール/初期導入設定用ディスクで設定した SSH に関する設定の「管 
理者アカウント名」と 「Password」 を使用し、□グインする。 
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6 . □グイン後、 root ユーザーに変更する。 

Password には、同梱の 「root パスワード」に書かれているパスワードを入力します。 

これでインストール/初期導入設定用ディスクによるセットアップ、管理クライアントの接 
続は完了です。以降の説明では、管理クライアントからの操作でシステムのセットアップを 
行います。 

H -0 セットアップの完了が確認できたらセットしたインストール/初期導入設定用ディスクをフ 
□ッピーディスクドライブから取り出して大切に保管してください。再セツトアップの時に 
使用することができます。 


セットアップに失敗した場合 

システムのセットアップに失敗した場合は、自動的に電源が OFF ( POWER ランプ消灯)にな 
り、ユーザーに異常終了したことを知らせます。正常にセットアップを完了できなかった場 
合は、初期導入設定用ディスクに書き出される□グファイル 「 logging . txt 」 の内容を確認し、 
再度初期導入設定ツールを使用して初期導入設定用ディスクを作成してください。 

〈主なログの出力例〉 

• 「 Error ： cannot open: /mnt/floppy/r\A/si 门 it 」 门 i 」 

ー インストール/初期導入設定用ディスク中の設定に誤りがある場合に表示されます。 
•「 Error : bad user name ( WbMC )」 

—インス I -ール/初期導入設定用ディスク中の WbMC の管理者名の指定に誤りがある場 
合に表示されます。 

• 「 Error ： bad user name ( SSH)J 

ー インストール/初期導入設定用ディスク中の SSH の管理者名の指定に誤りがある場合 
に表示されます。 

•「 Error ： fwsetup failure 」 

— Firewall へ初期導入設定ができない場合に表示されます。インストール/初期導入設定 
用ディスクの設定に誤りがあります。 

インストール/初期導入設定用ディスクの内容が誤っていた場合、インストール/初期導入設 
定用ディスクの設定内容を修正して再度本体をセットアップすることができます。 

以下の操作を行った場合には、インストール/初期導入設定用ディスクによる設定の機能は 
□いになります。基本設定ツール ( fwsetup ) もしくは WbMC からのみ設定変更が可能となり 
ますので注意してください。 

• 基本 設定 ツール ( fwsetup) を 実行し、 「replace 3!3「1;叩-3〇「时3?」の問に対して<：/>を入力 

しプし土ち0 

• WbMC の基本設定画面から[設定]を押した場合。 


システムのセットアップ 
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システムのセツトアツ 


「1.インストール/初期導入設定用ディスクによる設定」で管理クライアントから Firewall 本 
体に接続するための最低限必要なセットアップが完了しました。ここからは、基本設定ツー 
ル ( fwsetup ) を使用して、さらに詳細なセットアップを行います。 

ゾ Firewall 本体のホスト名、 IP アドレス、ルーティングなどのインストール/初期導入設定用 
I チェック I ディスクで設定した項目（下記の設定内容の項目における★印の項目）については、設定値 
を確認してください。 

fwsetup のセットアップを実行し、再起動したら、次に cpconfig コマンド使ってコンフイグ 
レーシヨンを行います。 

基本設定ツールによる設定 

基本設定ツールの項目や実際の手順の流れを示します。 


設定内容 

基本設定ツールでの設定項目およびそれぞれの制限事項は以下のとおりです。 

• サーバタイプ(設定必須 ）（★) 

Firewal 用、管理サーバ用を選択してください。 

• ホスト名(設定必須 ）（★) 

ホスト名はドメイン名まで含めた FQDN 形式で入力してください。 

• インタフェースの IP アドレスとネットマスク、 MTU 値(設定必須） 

Firewall では、最低2つの設定が必要です。3つ目以降は任意です。管理サーバでは、最低 
1つの設定が必要です。途中のインタフェース ( LAN ポート番号)を飛ばしての設定はでき 
ません。最大設定数は5個です。 MTU 値の設定範囲は、68〜1500です。 

• ネームサーバの IP アドレス 

最大3つのネームサーバを指定できます。入力を省略した場合、 DNS による名前解決は 
行いません。 

• 管理者のメールアドレス(設定必須 ）（★) 

1つのメールアドレスのみ設定できます。 
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• メールゲートウェイのホスト名または IP アドレス 

システムがメールを送信する時に SMTP 接続するメールサーバの IP アドレスを指定しま 
す。ホスト名で指定する場合は FQDN 形式で入力してください。ただし、ネームサーバ 
でその名前から IP アドレスが引ける必要があります。ネームサーパの IP アドレスを省略 
した場合、本項目は必ず IP アドレスを指定してください。 

本項目は省略可能ですが、その場合は Fi 「 eWall -1 や二重化機能などシステムが発信する 
メールは口ーカルの root ユーザー宛てに配送されます。本項目を省略した場合は定期的 
にメールをチェック、削除し、メールによってディスクを圧迫することがないように注 
意してください。また、 Fi 「 eWall -1 や二重化機能では緊急時にメールで警告を通知するこ 
とがあるため、本項目は必ず設定することをお勧めします。 

• デフォルトゲートウェイの IP アドレス(設定必須 ）（★) 

1つの IP アドレスのみ設定できます。 

• (静的)ルーティングテーブル (★) 

宛先アドレスとネットマスクおよびゲートウェイの組み合わせを指定します。 

本項目は省略することもできます。動的ルーティングはサポートしません。 

最大設定数は1000です。 

• Trap 送信先 IP アドレス 

Trap 送信先 ( ESMPRO / Se 「 ve 「 Manage 「) OIP 7 ドレスを指定します。 

ESMPR 〇/36「ソ6「1\/|3阳96「との連携を行わない場合は設定を省略することができます。 
最大設定数は1000です。 

• NTP (時刻同期)サーバの IP アドレス 

NTP (時刻同期)サーバの IP アドレスを指定します。本項目は設定を省略することができ 
ます。最大設定数は1000です。 

• FireWall -1 で取得されるログの保存日数(設定必須） 

1〜90日の範囲で設定ができます。 

• 二重化機能の設定 

二重化構成を使用する場合に設定します。詳しくは4章を参照してください。 

• WbMC の設定 (★) 

WbMC を使用する場合に設定します。 < Y > か < N > を入力します。 

また、 WbMC を使用する場合は、ポート番号 （1024 〜65535)、管理クライアントの IP 
アドレス、管理者名 （15 文字以内）、 https の使用/不使用を入力します。 

• SSH の設定 (★) 

SSH を使用する場合に設定します。<丫>か < N > を入力します。 

また、 SSH を使用する場合は、ポート番号 （1 〇24〜65535)、管理クライアントの IP ア 
ドレス、管理者名 （15 文字以内）を入力します。 

• WbMC のバスワード設定 (★) 

WbMC を使用をする場合は、パスワードの入力、変更を行います。使用しない場合は、 
パスワード入力は行いません。 
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SSH のパスワード設定 (★) 

SSH を使用する場合は、パスワードの入力、変更を行います。使用しない場合は、パス 
ワード入力は行いません。 

root ユーザーの パスワ ー ド変更 

省略できますが、セキュリティ上変更することをお勧めします。パスワードを変更する 
場合は、<丫>を入力した後、新しいパスワードを入力します。また、 WbMC 、 SSH を使 
用しない場合は、 root のパスワードのみの設定になります。 

現在の時刻設定 

時刻を修正する場合は<丫〉を入力した後、8桁もしくは12桁で現在の時刻を入力しま 
す。省略可能です。 

サービスの起動と停止(設定必須） 

起動時に必要なサービスを起動、および不要なサービスを停止させるための設定ができ 
ます。必ず最初の1度目は実行してください。 


H -〇 上記の設定後は、 Firewall 本体を再起動させてください。 





基本設定例 


① 初期設定ツールを起動する。 

② Firewall / 管理サーバを設定する。 

Firewall として設定するので、 [1] を選択します。 

③ ホスト名を設定する。 

ホスト名は FQDN 形式で入力してください。インス I -ール/初期導入設定用ディスクにて 
設定済みの場合は、再度入力する必要はありません。入力済みになっていますので 
〈 Enter 〉 キーを押してください。 

④ インタフェース別に IP アドレスとネットマスク、 MTU 値を設定する。 

インストール/初期導入設定用ディスクで設定しているので、一覧が表示されます。 


n jl w 〇 c し u. v 


Firewall Server conrlauration tool Ver.2.5-0 

server type 

1. Firewall 

2. Management Server 

select number[1]：1. 


hostname[fws.nec.co.jp]: 


No. 

IF address 

netmask 

mtu 

1 

192.168.1.126 

255.255.255.0 

1500 

2 

202.247.5.126 

255.255 .255.0 

1500 

("a"=ada | "m num"=moaify | "d num"= 
interface address(3) ： 172.16.1.126 
netmask(3) : 255.255.255.0 
mtu(3)[1500] : 1500 
interface address(4) : 

=delete 

No. 

IF address 

netmask 

mtu 

1 

192.168.1.126 

255.255.255.0 

1500 

2 

202.247.5.126 

255.255 .255.0 

1500 

3 

172.16.1.126 

255.255.255.0 

1500 


=list | Enter=next) : a 


("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


前述の「インストール/初期導入設定用ディスクの作成」-「入力項目の設定」に示すネットワー 
ク構成を例にして基本設定ツールの使い方を説明します。 



用 

. ( 4 ) 

■ S 

3 


システムのセツトアップ 


) 


這③ 3 
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⑤インタフェースの設定を追!]□する。 

前述のネットワークインタフェースの設定で割り当てたインタフェースに対しての IP ア 
ドレスの設定を追力□してください。 

一覧から設定内容の追加、および修正、削除、一覧表の再表示をキー入力から操作でき 
ます。 


< A > キー+ < Ente 「>* 一： ポートの設定を追力□する。 

< M > キ ー +「変更するポート番号」+ < Ente 「> キー指定したポートの設定を変更する。 
< D > キー+「削除するポート番号」+ < Ente 「> キー：指定したポートの設定を削除する。 
< L > キー+ < Ente 「> キー： リストを再表示する。 

く Enter 〉 キー： 次の項目へスキップする。 




nameserver( 1 ) :192.168 .1.2 . 

nameserver(2) : 

No. nameserver address 

1 192.168 .1.2 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 

^ Hm n *n "i q I - i - ^ n "1 ^ H H q q r m v\7' r 7Cn)T\ ^ m n 1• . 


Cl し LLLL 丄丄丄丄 iD し i_Cl し ^ J 上 じ LLLCL 丄丄 Cl し L し L 上 C- O O L 入乙奴丄丄じし • • 」 P」• ■■■■■■■■■■........... 

use mail gateway? (y/n)[n] : y 1 . 


mail gateway : 192.168.1.2 — 1 


default gateway IP address [202.247.5.254] : ■……. ......... .. . 


static routing . 

destination(1) ： 192.168.2.0 — i 


netmask(l) : 255.255.255.0 
gateway(1) : 192.168.1.254 ― 1 

destination(2) : 

No. destination netmask gateway 

1 192.168 .2.0 255.255.255.0192.168.1.254 
("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 



① ネームサーバの IP アドレスを設定する（任意）。 

② 管理者のメールアドレスを設定する。 

インス I -ール/初期導入設定用ディスクで設定した値が表示されますので、設定内容を確 
認して 〈 Enter 〉 キーを押してください。 

③ メールゲートウェイの IP アドレスを設定する。 

<丫>キーを押して値を入力します。省略する場合は < N > キーを押してください。 

④ デフォルトゲートウェイの IP アドレスを設定する。 

インス I -ール/初期導入設定用ディスクで設定した値が表示されますので、設定内容を確 
認して 〈 Enter 〉 キーを押してください 0 

⑤ ルーティングテーブルを設定する（任意）。 

⑥ 宛先の IP アドレス（ネットワークアドレス）、ネットマスク、およびそのネットワークへ 
のゲートウェイアドレスを設定する。 

インストール/初期導入設定用ディスクで設定済みの場合は、設定した内容のリストが表 
示されます。 
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trap sink host(2 ) ： 

No. trap sink host 

1192.168.1.10 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


NTP server address(2): 

No. NTP server address 

1 192.168 .1.3 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 

**1 -i "i ぺ •»>% i v \ r "i つ 1 1 ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■ 


log tile rotatl 〇 n(days) ： 〇 u 


u o し丄 llid しビ 1 _ し \ y / 11 y •11 . 


use firewall Web Management Console (WbMC) (y/n) [y] : y .. 


cha.nq'e r 12 rewa.ll WbMC conf iguiration? (y/n) [n] : y . 

nnrt ( 1 094 ) 「 IROOOl• 18000 . 


No. available host ip address 

1 192.168.1.99 

("a"-add | "m num"-modify | "d num"-delete | "1"-list | Enter-next) : ■■■■■■■ 

11 r-< ハ In トト J ( \ r / ir\ \ r t 7 1 .t r ........................................................................................................ 


U.O t ： 11 しし ^) \y / Li j i_y」.y ..... ■■■■目 ..■■■_■.. 

available user (with in 15 character) [fws-admin] : .......... 





① 


② 


③ 

④ 

⑤ 

⑧ 

⑦ 


⑧ 

⑨ 

⑱ 


① trap 送信先 IP アドレスを設定する（任意）。 

ESMPR 〇/361^^「1\/|3阳96「がインストールされているマシンの IP アドレスを設定してく 
ださい。 

② NTP (時刻同期）サーパの IP アドレスを設定する（任意)。 

③ Fi 「 eWall -1 で取得されるログの保存日数を設定する。 

④ 二重化機能に関する問い合わせメッセージ。 

二重化機能を使用しない場合、 < N > キーを押してください。 

■： 二重化機能を使用する場合で二重化のためのポリシー設定が、未設定の場合 < N > キー 
IJvn を、設定済みの場合は < Y > キーを押してください。詳しくは4章を参照してください。 



シ 

ス 

テ 

ム 

の 

セ 

ヅ 

卜 

ア 

ヅ 

プ 


⑤ WbMC の使用/未使用を設定をする。 

<丫>キーか < N > キーを押します。 

⑥ WbMC の設定を行う。 

<丫〉キーを押して、次へ進みます。インストール/初期導入設定用ディスクで設定した値 
が表示されますので、設定内容を確認して < Ente 「> キーを押してください。確認が不要な 
場合には、 < N > キーを押してください。 

⑦ ポート番号を入力する。 

既定値は、18000です。 

⑧ 使用者のホストの IP アドレスを入力する。 

最大使用可能ホスト数は、100です。 

⑨ https を使用する場合は、<丫>キーを押します。 

⑩ 使用者の名前を登録する。 


最大文字数は、15文字です。 
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port( 1024 - 65535 )[18022] : . 


No. aval 丄 able host ip address 

1 192.168 .1.99 

("a"=add | "m num" =modify | "d num" =delete | "1"=list | Enter=next) : ■■■■■■■■■ 

aval 丄 able user(with in 15 character)[fws - admin]•. 


once again input? (y/n) [n] : n .... 


[WbMC] change passward for user fws-admin? (y/n)[n] : n . 


[SSH] change pa.sswa.icd four 1 issic fws admin? (y/n) [n] : n . 



① 

② 

③ 


④ 

⑤ 

⑧ 

⑦ 

⑧ 


① SSH の使用/未使用を設定する。 

<丫>キーを押します。 

② SSH の設定の設定を行う。 

< Y > キーを押して、次へ進みます。インストール/初期導入設定用ディスクで設定した値 
が表示されますので、設定内容を確認して < Ente 「> キーを押してください。確認が不要な 
場合には、 < N > キーを押してください。 

③ ポート番号を入力する。 
default 値は、18022です。 


④使用者のホストの IP アドレスを入力する。 


最大使用可能ホスト数は、100です。 

⑤ 使用者の名前を登録する。 

最大文字数は、15文字です。 

⑥ ここまでの設定項目について設定を変更したいときは<丫>キーを押す。次に進む場合は、 
< N > キーを押す。 

⑦ 運用監視ツールの使用者のパスワードを入力する。 

パスワードは推測されにくいものを用意してください。 

インストール/初期導入設定用ディスクで設定済の場合は、再入力の必要はありません。 
< N > キーを押して次へ進みます。 

⑧ SSH の使用者のパスワードを入力する。 

パスワードは推測されにくいものを用意してください。 

インストール/初期導入設定用ディスクで設定済の場合は、再入力の必要はありません。 
< N > キーを押して次へ進みます。 
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① 


change root password? (y/n)[n] : y . 

Changing password for user root. 

New UNIX password : 

Retype new UNIX password : 

passwd : all authentication tokens updated successfully 


Fri Sep 616:48:44 JST 2002 

set date and time? (y/n)[n] : y . 

date and time (MMDDhhmm[[CC]YY ])： 
Fri Sep 616:53:01 JST 2002 
set date and time? (y/n)[n] : 


09061653 


replace startup-scripts? (y/n)[n] : y 
Please reboot the system. 


#shutdown -r now 


■② 

③ 

■④ 


① 出荷時に設定されているパスワードを変更する。 

セキュリティのためにも、出荷時のパスワードから変更することをお勧めします。 
パスワードは推測されにくいものを用意してください。 

② 時刻の設定を変更する。 

③ 必要な サービスの 起動および不要な サービスの 停止を行う（必須）。 

ここでは必ず<丫>キーを押してください。 

④ 設定を有効にするため、システムを再起動する。 

1-0 fwsetup を実行した際、以下のようなメッセージが表示されることがあります。 


B1 


# fwsetup 

Firewall Server configuration tool Ver.2.5-0 
fwsetup is under use... 

# 

この場合、他のユーザーが fwsetup を実行している可能性がありますので、他のユー 
ザーの使用状況を確認した後、再度 fwsetup を実行してください。 

また、他のユーザーが fwsetup を実行していないことが確認された場合、以下のコマ 
ンドを実行した後、再度 fwsetup を実行してください。 

# rm -f /var/opt/necfws/lock/fwsetup 


システムのセットアップ 
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Firewall -1 のコンフイグレーシヨン 


VPN-1 UTM Gateway. 

SmartCenter UTM. 

SmartCenter UTM and VPN-1 UTM Gateway. 


Enter your selection (1-2/a-abort) [1] : 3 . 

IP forwarding disabled 

Hardening OS Security : IP forwarding will be disabled during boot. 
Generating default filter 
Default Filter installed 

Hardening OS Security ： Default Filter will be applied during boot. 
This program will guide you through several steps where you 
will define your Check Point products configuration. 

At any later time, you can reconfigure these parameters by 
running cpconfig 


(1) Check Point Power. 

(2) Check Point UTM. 

Enter your selection (1-2/a-abort)[1] : 2 . 

Please specify the Check Point UTM Product type you are about to install : 


③ 


④ 


① < Ente 「> キーを押すと使用許諾書が表示されますのでお読みください。 

② 使用許諸に承認した場合は<丫〉キーを押す。 

③ インストールする製品を選択する。 

2の 「Check Point UTM 」 を選択し、インス I ルします。 

④ インストールするモジュールを選択する。 

通常は3を選択し、一体型構成でインストールします。 

FireWall - 1管理モジュールを別マシンにインストールして管理する、分散型構成でインス 
トールする場合は1を選択してください。二重化のために分散型構成でインストールす 
る場合、以降の設定内容については「二重化構成について」を参照してください。 


次に管理コンピュータか 6 Fi 「 eWall -1 付属の cpconfig コマンドを実行します。 
以下の手順でコンフィグレーションを行ってください。 


# cpconfia 


We 丄 come to Check Point Conrlauration Program 

Please read the following license agreement. 
Hit 'ENTER' to continue... . 


Do you accept all the terms of this license agreement (y/n) ? y 

Please select one of the following options : 

Check Point Power - for headquarters and branch offices. 

Check Point UTM - for medium-sized businesses. 


■① 


■② 


1 


2 3 
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Configuring Licenses •… 

Host Expiration Features 

Note : The recommended way of managing licenses is using SmartUpdate. 
cpconfig can be used to manage local licenses only on this machine. 

Do you want to add licenses (y/n) [n] ? y .. 


Do you want to add licenses [M」anually or [F]etch from file: m 
IP Address: 202.247.5.126 
Expiration Date : 

Signature Key : 

SKU/Features : 

License was added successfully 
License will be put into kernel after cpstart 

Configuring Administrator... 


No Check Point products Administrator is currently 
denned for this SmartCenter Server. 


Do you want to add an administrator (y/n) [y] ? y . 

Administrator name : fws-admin 

Password : . 

Verify Password : | 

Administrator fws-admin was added successfully and has 
Read/Write Permission for all products with Permission to Manage 
Administrators 


① 

② 

■③ 


.④ 

.⑤ 


① <丫>キーを入力して、ライセンスを追加する。 

② < M > キーを入力して、ライセンスを画面から(マニュアルで)入力する。 

③ 事前に取得したライセンス情報を入力する。 

ライセンスは、 Firewall のライセンス製品に添付されている「ライセンス申請書」を紙面記 
載の宛先 NEC Exp 58/ FWS 担当へ FAX して取得してください。本製品には「ライセンス 
申請書」は含まれていません (「 Firewall の製品体系」を参照してください)。 

④ <丫〉キーを入力して、管理者登録を行う。 

⑤ Firewall ( FireWall -1) の管理者名、およびパスワード、属性を設定する。 


システムのセットアップ 
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Configuring GUI Clients •… 


GUI Clients are trusted hosts from which 

Administrators are allowed to log on to this SmartCenter Server 
using Windows/X-Motif GUI. 

No GUI Clients defined 

Do you want to add a GUI Client (y/n) [y] ? y . 1 

You can add GUI Clients using any of the following formats : 

1.IP address. 

2. Machine name. 

3. "Any" - Any IP without restriction. 

4. IP/Netmask - A range of addresses, for example 192.168 .10.0/255.255.255.0 

5. A range of addresses - for example 192.168 .10.8-192.168.10.16 

6. Wild cards (IP only) - for example 192 .168.10.* 

Please enter the list of hosts that will be GUI Clients. 

Enter GUI Client one per line, terminating with CTRL-D or your EOF 
character. 

192.168 .1.99 . 

Is this correct (y/n) [y] ? y . 


Configuring Group Permissions... 


Please specify group name [<RET> for super-user group] : . 

No group permissions will be granted. Is this ok (y/n; [y]? 


Configuring Random Pool... 


Automatically collecting random data to be used in 
various cryptographic operations. 


Automatic collection of random data is done. 


① 


② 

③ 


④ 

⑤ 


① <丫>キーを入力して、クライアントマシンのリストを新規作成する。 

② セキュリティポリシーの設定を行うクライアントマシンの IP アドレスを設定する。 

複数の IP アドレスを設定する場合は改行して複数行入力する。入力を終了する場合は 
< Ct 「 l >-< D > キーを押してください。 

③ 入力したアドレスが正しければ<丫>キーを押す。 

④ Group の設定を彳 " j わなし'''場合は、<巳门拍「>キーを入力する。 

⑤ Group 設定を終了する場合はく丫>キーを押す。 
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Configuring Certificate Authority... 


The Internal CA will now be initialized 
with the following name : fws.nec.co.jp 

Initializing the Internal CA...(may take several minutes) 

Internal Certificate Authority created successfully 
Certificate was created successfully 
Certificate Authority initialization ended successfully 

Check Point product Trial Period will expire in 15 days. 

Until then, you will be able to use the complete Check Point Product 
Suite. 

Trying to contact Certificate Authority. It might take a while... 
fws.nec.co.jp was successfully set to the Internal CA 

Done 


Configuring Certiricate's Fingerprint... 


The following text is the rmgerprint of this SmartCenter Server : 
ADD OX GAWK MUM LONG RISK CARD FERN LILY KEY JOKE FLOC 


Do you want to save it to a rile? (y/n) [n] ? n . 

generating INSPECT code for GUI Clients 
initial_management : 

Compiled OK. 

Hardening OS Security : Initial policy will be applied 
until the first policy is installed 


In order to complete the installation 
you must reboot the machine. 

Do you want to reboot? (y/n) [y] ? y ■ 


■① 


② 


① GUI クライアントを接続したとき、接続した Fi 「 eWall -1 が正しいものであるかを確認する 
ための文字列が表示される。 

この文字列をディスク上に保存する場合は<丫>キーを、保存しない場合は < N > を入力し 
ます。 

② 終了後、再起動する。 

再起動後は、 Fi 「 eWall -1 のデフォルトフィルタが有効になるため、 SSH 、 WbMC での接 
続が不可となります。 


システムのセットアップ 
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セキユリテイポリシーのセツトアツ 


セキュリティ機能をセットアップする「3!7131^〇33|11303「山を管理クライアントにインストー 
ルし、編集したポリシーをインストールします。 

次の条件を満たすコンピュータに SmartDashboard やその他のツールをインストールして、 
クライアントマシンとして使用します。 


• オペレーティングシステム: 


• ディスク空き容量: 
• メモリ： 


Windows XP Home/proressional 

Windows 2000 P 「 ofessional(SP 1、 SP 2、 SP 3、 

SP 4) 

Windows 2000 Se 「 ve 「( SP 1、 SP 2、 SP 3、 SP 4) 
Windows 2000 Advanced Se 「 ve 「( SP 1、 SP 2、 
SP 3、 SP 4) 

Windows 2003 Server 
1 〇〇 MB 以上 
256 MB 以上 


* 上記は、2007年 3 月現在の情報です。今後のパッチリリースにより変更になる可能性があ 
ります。 


GUI クライアントのインストール 

管理クライアントに SmartDashboard をインストールします。ここでは 、 SmartDashboard 
といっしょに□グを解析するためのツール 「SmartView Tracker 」 とシステムの状態をチエッ 
クする 「SmartView Monitor 」 もインストールします。 


1. コンビュータの CD - ROM ドライプに Check Point NGXCD - ROM ( CD 2) をセットする。 

自動的にインストールプログラムが起動し、画面が表示されます。 

インス I —ルプログラムが起動しない場合は ¥wr a p pers ¥ windows フォルタ'にある 
r autorun . exe 」 を実行してください。 

Welcome 画面が表示されます。 

2. [ Next ] をクリックする。 

使用許諾契約書が表示されます。 

3. 内容をよく読み、同意する場合は [I accept the terms of the license agreement ] をチェックし、 
[ Next ] をクリックする。 

同意しない場合は [ Quit ] をクリックして終了します。 

[ Installation 〇 ptions ] 画面が表示されます。 
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4. 製品の選択を行ラ。 


[Check Point UTM ] を選択し、 [ Next ] をクリックする。 
[Installation 〇 ptions ] 画面が表示されます。 


Check Point 

Sectife Ihe fnlftfneP 
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㈣ 
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PfflVI-tMP Nw 


5. [New Installation ] を選択し、 [ Next ] をクリックする。 
Product 選択画面が表示されます。 
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6. Management の [ SmartConsole ] のみにチェックし、 [ Next ] をクリックする。 
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7. インストールする Products が表示されますので、 [ SmartConsole ] と表示されていることを確認 
し、 [ Next ] をクリックする。 

Choose Destination Location 画面が表示されます。 

8. 必要に応じてフォルダを変更し、 [ Next ] をクリックする。 

インストールするコンポーネントを選択する画面が表示されます。 

9. [ SmartDashboard ], [SmartView Tracker ]、[ SmartUpdate ], [SmartView Monitor ] をチェック 
し、 [ Next ] をクリックする。 

インストールが開始されます。 



10. ショートカット作成を行うかのメッセージが表示される。 

作成する場合は「はい」をクリックします。 

11. Setup 完了のメッセージが表示されるので、[〇 K ] をクリックする。 

12. Complete ダイアログが表示されるので、 [ Finish ] をクリックする。 

13. 完了画面が表示されるので、 [ Finish ] をクリックする。 

14. SmartDashboard を起動し、 cpconfig で登録したユーザ名とパスワード、および Firewall の内側 
(管理クライアント側)のアドレスを入力する。 

SmartDashboard を使用し、 Firewall と接続してポリシーを作成します。ネットワーク構成に応じ 
たポリシ _ ルールを作成してください。 

SmartDashboard の使い方、セキュリティポリシーの設定等については FireWall -1 に付属のマ 
ニュアルを参照してください。 


Welcome to Check Point 

SmartDashboard 

NGX R62 

的 ] 

厂 J^emo Mode 

jAdvanced 

~3 

Usei Name 

|fws-admin 


广 Certificate: 

厂 

d J 

Passwocd: 




SmatCenler Server 

1192.188 .1 1261 

つ 

厂 Read Only 






More Ortions » 


OK 

1 ⑽ 
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ポリシーを作成する時は、以下の手順を用いて Traditional Mode で作成することを推奨しま 
す。 

15. Traditional mode の設定 

SmartDashboard を起動し、接続されたらメニューバーから [ Policy ] - [Global Properties ] の 
VPN ページ、(こおし、て 、 「Traditional mode to all new Security Policies : Setup with Encryption 
Rules 」 を選択し、[〇 K ] をクリックする。 



16. メニューバーから FileHNew ] を選択し 、 Policy Package Name を設定する。 
「Security and Address TranslationJ を選択し [ OK ] をクリックする。 

新しいポリシー画面が作成され、ポリシーの設定が可能となります。 



Firewall と管理クライアントとの設定において、 SSH を使用しますので、 FireWaN-1 のポリ 
シーに、管理クライアントから Firewall に対して SSH のポート番号へのアクセスを許可するた 
めのルールを追加してください。このとき、接続元には必ず管理クライアントのみを設定し、 
他のホストからのアクセスは許可しないようにしてください。 
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【参考1】 WbMC を使用した設定手順の流れ 

以下に、 WbMC を使用したセツトアップの概要を説明します。 


n -〇 WbMC の接続は、必ず内部ネットワークの管理クライアントから行ってください。外部か 

ら接続を許可する設定には絶対にしないでください。また、 WbMC を使用する場合は、 
Internet Explorer バージヨン5以上でご利用ください。 


1 . インストール/初期導入設定用ディスクによる初期設定をする。 

インストール/初期導入設定用ディスクの設定については、前述の「インストール/初期導入設定用 
ディスクによる設定」を参照してください。 

リモートメンテナンス機能の利用に関する設定において、 「 WbMC を使用する」にチェックをつ 
けます。 

2. 管理クライアントの Web ブラウザを使用して Firewall の WbMC に接続する。 

このときの URL は、 Firewall の内側(管理クライアントが設置されているネットワーク側)のインタ 
フェースの IP アドレスを、ポ_卜番号には初期設定、あるいは基本設定ツールで指定したポート 
番号を指定します。 


イ列） https ://192 . 168 . 1 . 126:18000/ 


Firewall の内側のインタ 基本設定ツールで指定したポート番号 

フエー スの IP アドレス 


3. 接続すると、セキュリティの警告が表示 
される。 

[はい]をクリックします。 

4. ユーザー名とパスワードの問い合わせが 
ありますので、初期設定、あるいは基本 
設定ツールで設定した管理者名とパス 
ワードを入力する。 


g キユリティ ( D 菅告 


# このサイトと取り交わす後報は、ほかの人から自売み取られたり変更$れ5ことはあ 
りません。しかし、このサイトのセキュリティ雲 P 月害には問題があります。 

/ j \ このセキュリティ _ P 月者は、信頼言る会社から発行されていません。 II 明 
^害を表示して、この月機関を信頼するかどうか決定してください。 

® このセキュリティ証明害の日付は無幼で•す。 

迅セキュリティ E 明害の名前が無効であるか、またはサイト名と一致しませ 

続行しま寸か？ 

( JO < Y ) I |； . •いいえ独. 1 iiE 明書の表示祕 I 


接続に成功すると、右の画面が表示され 
ます。 


5. 四角で囲まれた部分をクリックする。 

左側にメインメニューを表示する 「 Menu 領 
域」、右側に「メイン領域」が表示されます。 

6 . 左側のメニューから「基本設定」を選択し 
て設定を行ってください。 



RreWall -1 のポリシーに、管理クライ 
アントから Firewall に対して WbMC の 
ポート番号へのアクセスを許可するた 
めのルールを追加します。このとき、 
接続元には必ず管理クライアントのみ 
を設定し、他のホストからのアクセス 
は許可しないようにしてください。 


ヘルプ妙 


D 



【注意】画面イメージはパージョンによって異なる場合が 
あります。 
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【参考2】コンソールを使用した設定手順の流れ 

本体の電源が OFF の状態で、管理クライアントを本体前面にあるシリアルポート 2(COM2) 
に接続し、システムを起動してください。 

• 本体に接続するために必要なもの 

-シリアルインタフェース (RS-232C) を持ったコンピュータ 
-通信用ソフトウェア（例： Windows 2000ハイパーターミナル） 

-シリアルケーブル（クロス） 

K 210 -84(05)(9pin-9pin) または K208-12(03)(9pin-25pin) のうち、お手持ちのコン 
ピュータに適合するケーブルをご利用ください。 

• ケーブルの接続 

本体前面にあるシリアルポート2 (COM2) にシリアルケーブル(クロス）を接続してくださ 
い。 

• ターミナルエミュレータの設定 

ターミナルエミュレータのパラメータは以下のように設定してください。 

ボーレー ト ：19,200 bps 

パリティ ：なし 

キャラクタ長 ：8 t)it 
ストップビット： Ibit 
• 管理クライアントの接続 

本体の電源を投入後、しばらく （3 分程度）してから管理クライアントの <Ente「> キーを押 
すと、管理クライアントのディスプレイに login プ□ンプトが表示されます。 

管理クライアントから 「root」 と入力し、 「Password」 に同梱の 「root パスワード」に書かれ 
ているパスワードを入力します。□グインに成功すると「#」のプ□ンプトが表示されま 
す。 

I H -0 root のパスワードは、基本設定ツールで出荷時のパスワードから変更してください。 

以下に、コンソールを使用したセットアップの手順概要を説明します。 

1 . Firewall 本体にコンソールを接続して□ク'インする。 

2 . 基本設定ツール ( fwsetup ) を実行して設定をする。 

設定については、本章の「2.システムのセットアップ」を参照してください。 

3. FireWall - 1のコンフィグレーション ( cpconfig ) の設定をする。 

コンフィグレーションの設定については、本章の「2.システムのセットアップ」- 「 FireWall -1 の 
コンフィグレーション」を参照してください。 

4. セキュリティポリシーのセットアップとインストールをする。 

本章の「3.セキュリティポリシーのセットアップ」を参照してください。 
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4. バックアツ 


万一の故障による再インストールに備えて、設定したセキュリティポリシーのバックアップ 
を作成します。バックアップの取得方法は2種類あります。 

I H -〇 バックアップを取得する際には、 Firewall の連用を一時的に中断させなければいけません。 


コマンドによるバックアップ取得 

fwbackup コマンドを管理クライアントから実行するとバックアップ取得を開始するメッ 
セージが表示されます。 <Ente「> キーを押し継続すると、フロッピーディスクのセットを要 
求するメッセージが表示されます。 

フロッピーディスクをセットしてく Ente「> キーを押すと、後は自動的にフロッピーディスク 
へバックアップします。 

バックアップコマンド実行時、バックアップに必要なフ□ッピーディスクの枚数が表示され 
るので、必要数のフロッピーディスクをあらかじめ用意してください。 


ポリシーのルール数やユーザー登録数が多い場合などは1枚に保存できないことがありま 
す。ファイルがフロッピーディスク1枚に保存できない場合には、複数枚のフロッピーディ 
スクに分割してバックアップコピーを行います。メッセージに従ってフロッピーディスクを 
入れ換えてください。 


バックアップディスクには、必ず DOS フォーマツト （1.44 MB ) 済みのブランクディスクを 
使用してください。 


Firewall の運用を停止する 


コマンド入力後、 

.< Ente 「> キーを押す 




< Ente 「> キーを押す *> 


必要なフロッピーの, 
枚数が表示される 


二重化構成を使用しな 
し''場合は表されなし'' 


フロッピーディスクの入* 
れ換えのメッセージが表 
示された場合は、フ□ッ 
ピーディスクを入れ換 
え、 < Ente 「> キーを押す 


•# cpstop ^ 

# fwbackup 〆 

Startinq upqrade export 


'press ENTER when ready. 


、4 floppy disks are needede for backup. 

Please insert DOS formatted(1.44MB) floppy disk(#1) 
Press enter key. 
backup fws.ini... 
backup .http... 
backup .ssh... 

'backup clp.conf... 

back up fw config files... 

- Please insert next floppy disk (2/4), 

Please insert next floppy disk (3/4), 

Please insert next floppy disk (4/4), 

After turned off FDD access light, Press enter key. 
# cpstart 


フロッピーディスクを本体に 
セツトし、 < Ente 「> キーを押す 


and press enter key 
and press enter key 
and press enter key 
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ここでフ□ッピーディスクを取り出 
し、コマンドを入力する。 Firewall が 
運用を開始する 


フロッピーディスクドライブ 
のアクセスランプが消えたら 
< Ente 「> キーを押す 












WbMC によるバックアップ取得 


[システム]—[バックアップ/リストア]を選択してください。詳しくはヘルプを参照してく 
ださい。 


オンラインアツプチー 



Firewall にインストールされているパッケージについて以下の状況が発生した場合、「オンラ 
インアップデート」機能を使用することにより対象のパッケージをアップデートすることが 
できます。 

• 不具合が生じた 

• パッチや次期バージョンがリリースされた 


オンラインアップデートでは、 FireWall - l モジュール (Feature Pack など)をアップデー 
卜することはできません。 

FireWall - l モジュールのアップデート ( HotFix 適用等も含む)が必要となった場合、新日鉄 
ソリューションズ ( NSSOL ) のダウン□ー ドサイトよりモジュールを入手し、適用してくだ 
さい0 


オンラインアップデート手順 

1 .Management Console で「パッケージ」一「アップデートモジュールー覧」をクリックする。 


?7 ィル ® 

H 斤 Tj 9 -JWWp .vr し 7 划 
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トール I 
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2 . 


ユーザ認証をする。 


ソフトウェアサボートサービスを購入済みのお客様向け認証ページです。「お客様番号」、「登録上 
の分類」、「パスワード」を入力してください。未購入のお客様は「認証しない」をクリックして次へ 
進んでください。認証することで全てのアップデートモジュールを参照することが可能となりま 
す。未購入のお客様は、購入者向けに公開されているモジュールは参照できません。 
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5 叙 イン!^ ¥ 分 


w - OB ^ 

[ユーザ認証]画面は、初めて[アップデートモジュールー覧]画面を表示させた時、もしくは、 
[アップデートモジュールー覧]画面にて[最新情報に更新]をクリックした時に表示されます。 


3. 適用可能なモジュールの一覧を表示する。 

公開されているアップデートモジュールの情報を取得し、アップデートパッケージと Firewall にイ 
ンストール済みのパッケージとの比較を行います。新規適用またはアップデートが必要となる 
パッケージのみを画面に表示します。 



w - OB ^ 

表示されている情報は、最新情報でない可能性があります。 Firewall をセキュアな状態に保つ 
ために[最新情報に更新]をクリックして、表示されている情報を最新にしてください。 

4. パッケージを取得する。 

[適用]をクリックしたモジュールをダウンロードします。その際、依存関係のあるパッケージは 
すべて取得されます。 
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5. 適用前の確認をする。 

取得したパッケージの適用を行う前に、信頼性チェックを行います。取得したパッケージの 
チェックサムが画面に表示されますので、内容を確認してください。 

6. パッケージを適用する。 

適用する場合は、[〇 K ] をクリックしてください。 


ESMPRO/ServerAeent のセツトアツ 



ESMPR 〇 /ServerAgent は出荷時にインストール済みですが、固有の設定がされていませ 
ん。以下のオンラインドキュメントを参照し、セットアップをしてください。 

添付のバックアツプ CD-ROM:/nec/Linux/esmp「o.sa/doc 


■I； ESMPR 〇 /ServerAgent の他にも「エクスプレス通報サービス」 （5 章参照）がインストール済み 

Uvq です。ご利用には別途契約が必要となります。詳しくはお買い求めの販売店または保守サー 
— ビス会社にお問い合わせください。 

ii-O シリアル接続の管理クライアントから設定作業をする場合は、管理者として□グインした 

後、設定作業を開始する前に環境変数 「 LANG 」 を 「 C 」 に変更してください。デフォルトの 
シェル環境の場合は以下のコマンドを実行することで変更できます。 

#export LANG=C 
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7. システム情報のバックアッ 


システムのセットアップが終了した後、オフライン保守ユーティリティを使って、システム情 
報をバックアップすることをお勧めします。 

システム情報のバックアップがないと、修理後にお客様の装置固有の情報や設定を復旧（リ 
ストア）できなくなります。次の手順に従ってバックアップをしてください。 

I H -〇 EXPRESSBUILDER ( SE ) CD - ROM からシステムを起動して操作します。 

EXPRESSBUILDER ( SE ) CD - ROM から起動させるためには、事前にセットアップが必 
要です。5章の 「EXPRESSBUILDER ( SE )」 を参照して準備してください。 

1. 3.5 インチフロッピーディスクを用意する。 

2. 「 EXPRESSBUILDER ( SE ) CD - R 〇 M 」 を本体装置の DVD - ROM ドライプにセットして、再起動す 
る。 

EXPRESSBUILDER ( S 0 から起動して 「 EXPRESSBUILDER ( SE ) トップメニュー」が表示されま 
す。 

3. 「ツール」一「オフライン保守ユーティリティ」を選ぶ。 

4. [システム情報の管理]から[退避]を選択する。 

以降は画面に表示されるメッセージに従って処理を進めてください。 


管理コンピュータのセツトアツ 


本装置をネットワーク上のコンピュータから管理 • 監視するためのアプリケーションとし 
て、 「ESMPRO/ServerManager」 と 「DianaScope」 が用意されています。 

これらのアプリケーションを管理コンピュータにインストールすることによりシステムの管 
理が容易になるだけでなく、システム全体の信頼性を向上することができます。 

巳31\/|卩1^〇/36「ソ6「1\/|3阳96「と013旧3〇〇口6のインストー ルについては 5章、 または 
「EXPRESSBUILDER (SE) CD-R 〇 M」 内のオンラインドキュメントを参照してください。 
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再セットアップ 


再セットアップとは、システムの破損などが原因でシステムが起動できなくなった場合などに、添付の 
「バックアップ CD-R 〇 M」 を使ってハードディスクを出荷時の状態に戻してシステムを起動できるようにす 
るものです。以下の手順で再セットアップをしてください。 



ンの作成 


「保守用パーティション」とは、装置の維持 • 管理を行うためのユーティリティを格納するた 
めのパーティションで、 55MB 程度の領域を内蔵ハードディスク上へ確保します。 

Firewall の信頼性を向上するためにも保守用パーティションを作成することをお勧めします。 
保守用パーティションは、添付の 「EXPRESSBUILDER(SE)CD-R 〇 M」 を使って作成しま 
す。詳しくは5章の「保守 • 管理ソフトウェア」を参照してください。 


保守用パーティションを作成するプロセスで保守用パーティションへ自動的にインストール 
される ユー ティリティは、「システム診断 ユー ティリティ」と「オフライン保守 ユー ティリ 
ティ」です。 
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システムの再インス I ル 


ここでは、システムの再インストールの手順について説明します。 

二重化構成を構築している場合は、再インストールの手順が異なります。4章の「二重化構成 
の再セットアップ」を参照してください。 

I n -〇 再インストールを行うと、装置内の全データが消去され、出荷時の状態に戻ります。必要な 
匿^ データが装置内に残っている場合、データをバックアップしてから再インストールを実行し 
てください。 

再インストールの準備(コンソール接続） 


作業を行うためにはコンソールが必要です。本体の電源が OFF の状態で、お手持ちのバソコ 
ン（管理コンピュータ）を本体前面のシリアルポート 2( COM 2) に接続してください。 


Firewall との接続に必要なもの 

• シリアルインタフェース ( RS 232 C ) を持ったコンピュータ 
• 通信用ソフトウェア（例： Windows 2000 ハイパーターミナル） 

• シリアルケーブル（クロス） 

K 210 -84(05)(9 pin -9 pin )、 または K 208-12(03) (9 pin -25 pin ) のうち、お手持ちのコン 
ピュータに合ったケーブルを使用してください。 

ケーブルの接続 

本体前面にあるコネクタにシリアルケーブル（クロス）を接続してください。 

ターミナルエミユレータの設定 

ターミナルエミュレータのパラメータは以下のように設定してください。 

ボーレート： 19,2〇〇 bps 
パリティ：なし 
キャラクタ長： 8 bit 
ストップビット ： Ibit 
再インス I -ールに必要なディスク 
あらかじめ以下のディスクを用意してください。 

• バックアップ CD-ROM 
• Check Point NGX CD-ROM 
• インストール/初期導入設定用ディスク 
• バックアップディスク（任意） 

I H -〇 再インス!-ールは、 LAN ケーブルをすべてはずしてから実行してください。 
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再インストールの手順 


1. 本体の電源を〇 N にし、前面にあるフロッピーディスクドライプに再インストール用ディスクを、 
DVD - ROM ドライプにバックアップ CD - ROM をセットします。 

自動的にプログラム CD - R 〇 M がらのインストールが始まります。 

インストールは約1◦分で完了します。 

インストールを完了すると、 DVD - R 〇 M ドライプからバックアップ CD - R 〇 M が排出されます。 
本体は、電源が入った状態で、システムが停止している状態になります。 

2. バックアップ CD - R 〇 M および再インストール用ディスクを取り出した後、 POWER スイッチを押 
して電源を〇 FF にします。 

3. インス!ル/初期導入設定用ディスクをセットし、 POWER スイッチを押して電源を〇 N にしま 
す。 

インストール/初期導入設定用ディスクは、初期導入設定用ツールで作成済みのものとします。 

4. login プロンプトが表示されたら、 「 root 」 と入力し、 Password に添付品の 「 root パスワード」に書 
かれているパスワードを入力します。 

□グインに成功すると!;#]のプロンプトが表示されます。 

5. <バックアップしておいた設定をリストアする場合> 

以下のコマンドを実行して設定を行います。 

設定をバックアップしたフロッピーディスクを本体にセツトしてください。 


(# 1 ) 


# fwrestore _i - 

Please insert backup rloppy disk. 

Press enter key. 
restore fws.ini ... 
restore clp.conf 
restore .http... 
restore .ssh... 
restore completed. 

After turned off FDD access light, Press ent,er key. 

# fwsetup -i / opt/necfws/etc/fws.ini 


# shutdown -r now 


バックアップディスクをセツトして、 
< Ente 「> キーを押す 


二重化構成を使用していない場合は 
表示されない 


終了後、再起動する 


フロッピーディスクドライブのアクセスランプが消えたら 
< Ente 「> キーを押し、その後フロッピーディスクを取り出す 


くバックアップのリストアをしない場合> 

本章の「2.システムのセットアップ」-「基本設定ツールによる設定」を参照して設定を行い、終了 
後、再起動する。 


6 . 起動後、 DVD - R 〇 M ドライプに Check Point NGX CD - R 〇 M ( CD 1) をセツトし、 FireWall -1 のモ 
ジュールを以下の手順で適用します。 


# mount /dev/cdrom 

# cd /mnt/cdrom 

# ./UnixInstallScript 


7. [ Welcome ] 画面が表示されますので、 < N > キーで次に進みます。 
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8. 使用許諾書が表示されますので、お読みいただいた後、使用許諾に承認した場合は<丫>キーを押 
します。 

9. 以下のメッセージが表示されます。<2>キーを入力し、 < N > キーで次に進みます。 


Check 

Point 

Power 

- for headquarters and branch offices 

Check 

Point 

UTM - 

for medium-sized businesses 

1() 

Check 

Point 

Power 

2 (*) 

Check 

Point 

UTM 


10. 以下のメッセージが表示されます。<1>キーを入力し、 < N > キーで次に進みます。 


Please select one of the rollowmg options 
1(*) New Installation 

2 ( ) Installation Using Imported Configuration 


11. 以下のメッセージが表示されます。<1>キ ー、 <2>キ_を入力し、 < N > キーで次に進みます。 


The following products are available m this version 
Please select product(s) 


1[*] VPN-1 UTM 

2 [*] SmartCenter UTM 

3 [ ] Eventia Reporter UTM 

4 [ ] SmartPortal 


12. インストールするプロダクトが表示されます。 < N > キーを入力し、次に進みます。 


You have selected the following products for installation : 
* VPN-1 UTM and SmartCenter UTM 


13. 以下のメッセージが表示されます。ここではライセンス入力しないため、 < n > キーを入力し、 
< Enter > キーで次に進みます。 


Configuring Licenses ... 


Host Expiration Signature Features 

Note : The recommended way of managing licenses is using SmartUpdate . 
cpconfig can be used to manage local licenses only on this machine . 

Do you want to add licenses ( y / n ) [ y ] ? n 
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14. 以下のメッセージが表示されます。ここでは登録を実施しないため、 < n > キーを入力し、 < Enter > 
キーを入力します。継続するので、 < y > キーを入力し、く已门拍レキーを入力します。 


Confiquring Administrator... 

No Check Point products Administrator is currently 
denned for this SmartCenter Server. 

Do you want to add an administrator (y/n) [y] ? n 

No administrator is currently defined. 

Are you sure you want to continue? (y/n) [n] ? y 


15. 以下のメッセージが表示されます。 < n > キーを入力し、 < Enter > キーで次に進みます。 


Configuring GUI Clients... 

GUI Clients are trusted hosts rrom which 

Administrators are allowed to log on to this SmartCenter Server 
using Windows/X-Motif GUI. 

No GUI Clients defined 

Do you want to add a GUI Client (y/n) [y] ? n 


16. 以下のメッセージが表示されます。 < Enter > キーを2回入力し、次に進みます。 


Configuring Group Permissions... 

Please speciry group name [<RET> for super-user group] : 

No group permissions will be granted. Is this ok (y/n) [y] ? 


17. 以下のメッセージが表示されます。 < n > キーを入力し、 < Enter > キーで次に進みます。 


Configuring Certificate's Fingerprint... 

The following text is the rmgerprmt of this SmartCenter Server : 
AAAA AAA AAAA AAA AAA AAAA AAAA AAA AAAA AAAA AAAA AAAA 

Do you want to save it to a file? (y/n) [n] ? n 


18. 再起動をするが確認のメッセージが表示されます。ここでは、 < E > キーを入力し、次に進みます。 


Installation proaram completed 


In order to complete the installation 
you must reboot the machine. 

Would you like to reboot the machine ? 

NOTE : Please remove the CD from 

your machine before reboot. 
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19. CD-R 〇 M を取り出し、再起動します。再起動後、必要な LAN ケープルを接続してください。 


# cd 

# eject 

# shutdown -r now 


20. ポリシーの作成を行う。 

<あらかじめバックアップしておいた設定をリストアする場合> 

コマンドを実行する前に、バックアップを取得した際の FireWall -1 HotFix 適用状態まで HotFix を 
適用する。 


フロッピーディスクの 
入れ替えのメ ッセー ジ . 
が表示された場合は、 
フロッピーディスクを 
入れ換え、 < Ente 「> 
キーを押す 


# cpstop - 

# fwrestore -f- 


Please insert backup floppy disk. (#1) 

Press enter key. - 


There are 4 floppy disks for restore. 
restore fw config files...(1/4) 

Please insert next floppy disk, and press enter key. 
restore fw confiq files...(2/4) 


. FireWall -1 を停止する 

■コマンド入力後、 < Ente 「> キーを押す 

-バックアップディスクをセツトして、 
< Ente 「> キーを押す 


The 'Import' operation will stop all Check Point services (cpstop). 
Do you want to continue? (y/n) [n] ? y 


< y > を入力し、く Enter 〉 キーを押す 

- The license upgrade process may take some time. 

Do you want to continue? (y/n) [y] ? n 

~< n > を入力し、 < Ente 「> キーを押す 

upgrade import rmished successfully! 

Do you wish to start Check Point services ('cpstart')? (y/n) [y] ? y 


restore completed. 

After turned off FDD access light, Press enter key. 

# / 


フロッピーディスクドライブのアクセスランプが消えたら 
く Ente 「> キーを押し、その後フロツピーデイスウを取り出す 


< y > を入力し、く Enter 〉 
キーを押す 
FireWall - 1を起動する 


I チェック I 

SmartDashboard が接続できない場合は、以下のコマンドを実行した後に再接続してください。 
# fw unloadlocal 

くバックアップのリストアをしない場合> 

SmartDashboard を使用してポリシーを作成する。 


21 . SmartDashboard でポリシーをインストールする。 


w-OB^ 

DVD - ROM ドライブに Check Point NGX CD - R 0 M ( CD 1) をセツトした状態のまま 
Rrewall 本体を起動しないように注意してください。 
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ESMPRO/ServerAgent のセツトアツ 



「システムの再インストール」で ESMPR 〇 / ServerAgent は自動的にインストールされます 
が、固有の設定がされていません。以下のオンラインドキュメントを参照し、セットアップ 
をしてください。 

添付のバックアツプ CD - ROM :/ nec / Linux / esmp 「 o . sa/doc 


rE>n 


ESMPR 〇 /ServerAgent の他にも「エクスプレス通報サービス」 （5 章参照）も自動的にインス 
卜ールされます。 

シリアル接続の管理クライアントから設定作業をする場合は、管理者として□グインした 
後、設定作業を開始する前に環境変数 「 LANG 」 を 「 C 」 に変更してください。デフォルトの 
シェル環境の場合は以下のコマンドを実行することで変更できます。 

#export LANG=C 


システム情報のバックアッ 



システムの再セットアップが終了した後、添付の 「 EXPRESSBUILDER ( SE ) CD - R 〇 M 」 にあ 
るオフライン保守ユーティリティを使って、システム情報をバックアップすることをお勧め 
します。 

前述の「システム情報のバックアップ」、および5章の「保守 • 管理ソフトウェア」を参照して 
ください。 


システムのセットアップ 


93 






Memo - 


94 



























